MEHARI

MEHARI ( ME thod for H armonized A nalysis of RI sk) är en gratis riskanalys och riskhanteringsmetod med öppen källkod för informationssäkerhetspersonal.

MEHARI gör det möjligt för företagschefer, yrkesverksamma inom informationssäkerhet/riskhantering och andra intressenter att utvärdera och hantera organisationens risker relaterade till information, informationssystem och informationsprocesser (inte bara IT). Den är utformad för att anpassa sig till och stödja informationssäkerhetsriskhantering enligt ISO/IEC 27005 , särskilt i samband med ett ISO/IEC 27001 -kompatibelt Information Security Management System (ISMS) eller ett liknande övergripande säkerhetshanterings- eller styrningsramverk.

Historia

MEHARI har stadigt utvecklats sedan mitten av 1990-talet för att stödja standarder som ISO/IEC 27001 , ISO/IEC 27002 , ISO/IEC 27005 och NIST:s SP 800-30. Den aktuella versionen av MEHARI Expert (2010) innehåller länkar och stöd för ISO 27001/27002:2013 revisions-ISMS.

Beskrivning

MEHARI Expert (2010) kombinerar en kraftfull och utbyggbar kunskapsbas med en flexibel uppsättning verktyg som stödjer följande informationssäkerhetsriskanalys och hanteringsaktiviteter:

• Hotanalys: högsta företagschefer beskriver organisationens aktiviteter, listar potentiella problem eller farhågor som kan påverka dessa aktiviteter negativt och tilldelar värderingar till verksamhetens effekter.
• Affärsprocesserna analyseras vidare för att identifiera och kartlägga tillhörande organisatoriska, mänskliga och tekniska tillgångar.
• Tillgångarna klassificeras enligt tre klassiska säkerhetskriterier (sekretess, integritet, tillgänglighet) plus behovet av efterlevnad av tillämpliga lagar och förordningar (t.ex. för att skydda personlig information eller miljön).
• Den inneboende sannolikheten/sannolikheten för representativa hothändelsetyper beaktas.
• Dessa element kombineras automatiskt för att analysera och bedöma riskernas inneboende svårighetsgrad (baserat på 800 "scenarier" i kunskapsbasen), och lyfta fram de mest kritiska och allvarliga enligt de förväntade affärskonsekvenserna.
• Diagnostiska frågeformulär hjälper användare att utvärdera förmågan hos deras befintliga informationssäkerhetsåtgärder/kontroller för att minska risker.
• Säkerhetsåtgärder (organisatoriska och tekniska) grupperas i tjänster för diskussion med berörda chefer och yrkesverksamma.
• Den aktuella svårighetsgraden för varje riskscenario visas, med hänsyn till effektiviteten hos befintliga säkerhetsåtgärder, ger en indikation på det aktuella informationssäkerhetsrisklandskapet och föreslår prioritering av avhjälpande arbete.
• Handlingsplaner och säkerhetsprojekt kan väljas för att hantera riskerna, baserat på den förväntade effektiviteten av ytterligare säkerhetsåtgärder och tidsramarna för deras genomförande. Den föregående analysen gör det möjligt för ledningen att uppskatta affärsfördelarna med, och därmed motivera, lämpliga investeringar i informationssäkerhet: hela processen är affärsdriven.

MEHARI Expert (2010)s omfattande kunskapsbas, byggd med Excel, finns tillgänglig på både engelska och franska som ett interaktivt verktyg, eller mer exakt en uppsättning verktyg som kan användas individuellt men är utformade som en sammanhängande svit. När processen fortskrider expanderar kunskapsbasen automatiskt med den information som erhålls, vilket ger indata för efterföljande steg. Konsekvent analys av riskerna och kontrollerna gör det möjligt för stora, olika organisationer att jämföra och kontrastera operativa enheter på en jämn grund.

Ytterligare applikationer och verktyg, baserade på samma principer, kan utvecklas under Creative Commons-licens.

Se även

• Attack (dator)
• Datorsäkerhet
• Informationssäkerhet
• Managementsystem för informationssäkerhet
• IT-risk
• Metodik
• Hot (dator)
• Sårbarhet (dator)

• startsida
• för MEHARI-verktyg nedladdning
• guider

externa länkar

• ENISA information om MEHARI